Configurar o registro automatizado de dispositivos no Intune

  • Artigo
  • 34 minutos para o fim da leitura

Aplica-se ao iOS/iPadOS

Dispositivos de propriedade corporativa comprados por meio do Apple Business Manager ou do Apple School Manager podem ser registrados em Intune por meio de registro automatizado de dispositivo. Essa opção de registro aplica as configurações da sua organização do Apple Business Manager e do Apple School Manager e registra dispositivos sem que você precise tocá-los. IPhones e iPads podem ser enviados diretamente para funcionários e alunos. Quando eles ativam seus dispositivos, o Assistente de Instalação da Apple os orienta por meio da instalação e registro.

Este artigo descreve como preparar e configurar o registro automatizado de dispositivos no Microsoft Intune.

Visão geral dos recursos

A tabela a seguir mostra os recursos e cenários compatíveis com o registro automatizado do dispositivo.

Recurso Use essa opção de registro quando
Você deseja o modo supervisionado. ✔️

O modo supervisionado implanta atualizações de software, restringe recursos, permite e bloqueia aplicativos e muito mais.
Os dispositivos forem de propriedade da organização ou da escola. ✔️
Você tem novos dispositivos. ✔️
For necessário registrar poucos dispositivos ou um grande número deles (registro em massa). ✔️
Os dispositivos estiverem associados a um só usuário. ✔️
Alguns dispositivos, como os de quiosque ou dedicados, não têm usuários. ✔️
Os dispositivos estão no modo compartilhado Azure AD. ✔️
Os dispositivos são pessoais ou BYOD.

Não recomendado. Aplicativos em BYOD ou dispositivos pessoais podem ser gerenciados usando mam ou registro de usuário e dispositivo.
Os dispositivos forem gerenciados por outro provedor de MDM.

Para que os dispositivos sejam totalmente gerenciados pelo Intune, os usuários deverão cancelar o registro do provedor de MDM atual e fazer o registro no Intune. Ou você pode usar o MAM para gerenciar aplicativos específicos no dispositivo. Como esses dispositivos pertencem à organização, recomendamos registrá-los em Intune.
Você usar uma conta do DEM (gerenciador de registros de dispositivos).

A conta do DEM não é compatível.

Pré-requisitos

Antes de criar o perfil de registro, você deve ter:

Antes de começar

Leia esses requisitos de registro e as melhores práticas para se preparar para uma instalação e implantação bem-sucedidas.

Escolher um método de autenticação

Antes de criar o perfil de registro, decida como deseja que os usuários se autentiquem em seus dispositivos: por meio do aplicativo Portal da Empresa do Intune, assistente de instalação (herdado) ou Assistente de Instalação com autenticação moderna. Usar o aplicativo Portal da Empresa ou o Assistente de Instalação com autenticação moderna é considerado autenticação moderna e tem recursos como autenticação multifator.

Intune também dá suporte ao Registro Just in Time para Assistente de Instalação com autenticação moderna, o que elimina a necessidade do aplicativo Portal da Empresa para Azure AD registro e conformidade. Para usar o Registro JIT, você precisará criar uma política de configuração de dispositivo antes de criar o perfil de registro da Apple e configurar o Assistente de Instalação com autenticação moderna. Para obter as etapas de instruções, consulte Configurar o Registro Just in Time.

Importante

O registro JIT está em versão prévia pública. Para obter mais informações, consulte Visualização pública no Microsoft Intune.

O Assistente de Instalação com autenticação moderna tem suporte em dispositivos que executam o iOS/iPadOS 13.0 e posteriores. Dispositivos iOS/iPadOS mais antigos, dado que esse perfil usará o Assistente de Instalação (herdado) para autenticação.

Para obter mais informações sobre suas opções de autenticação, consulte Métodos de autenticação para registro automatizado de dispositivo.

O que é o modo supervisionado?

O modo supervisionado fornece mais controle de gerenciamento sobre dispositivos corporativos, para que você possa fazer coisas como bloquear capturas de tela e restringir o AirDrop.

Dispositivos de propriedade corporativa que executam o iOS/iPadOS 11+ e registrados por meio de registro automatizado de dispositivo devem estar sempre no modo supervisionado, que você pode ativar no perfil de registro. Para obter mais informações sobre o modo supervisionado, consulte Ativar o modo supervisionado iOS/iPadOS. Microsoft Intune ignora o sinalizador de is_supervised para dispositivos que executam o iOS/iPadOS 13.0 e posterior porque esses dispositivos são colocados automaticamente no modo supervisionado no momento do registro.

Registrar dispositivos no modo de dispositivo compartilhado Azure AD

Importante

Esse recurso se encontra em visualização pública. Para obter mais informações, consulte Visualização pública no Microsoft Intune.

Você pode configurar o registro automatizado de dispositivos para dispositivos no modo de dispositivo compartilhado Azure AD. O modo de dispositivo compartilhado permite que os trabalhadores da linha de frente compartilhem um único dispositivo ao longo do dia, entrando e saindo conforme necessário. Para obter mais informações sobre como habilitar o registro para dispositivos no modo de dispositivo compartilhado, consulte Registro automatizado de dispositivo para Azure AD modo de dispositivo compartilhado.

Implantando o aplicativo Portal da Empresa

Importante

Não recomendamos usar a versão App Store do aplicativo Portal da Empresa porque ele não é compatível com o registro automatizado de dispositivo e não fornece as atualizações automáticas e a disponibilidade como a implantação faz.

Implantar o aplicativo Portal da Empresa do Intune por meio de Intune é a melhor maneira de fornecer o aplicativo aos usuários e a única maneira de:

  • Certifique-se de que todos os dispositivos ADE, incluindo os já registrados, recebam o aplicativo.
  • Habilitar atualizações automáticas de aplicativo para Portal da Empresa em dispositivos ADE.

Implante o aplicativo como um aplicativo VPP obrigatório com licenciamento de dispositivo. Para obter informações sobre como sincronizar, atribuir e gerenciar um aplicativo VPP, confira atribuir um aplicativo comprado por volume.

Para habilitar atualizações automáticas de aplicativos para Portal da Empresa, acesse as configurações do token de aplicativo no centro de administração e altere as atualizações automáticas do aplicativo para Sim. Consulte Carregar um token de localização do Apple VPP ou Do Apple Business Manager para obter as etapas para acessar as configurações do token. Se você não habilitar atualizações automáticas, o usuário do dispositivo precisará marcar manualmente para elas por conta própria.

O preparo do dispositivo é usado para fazer a transição de um dispositivo sem afinidade de usuário para um dispositivo com afinidade de usuário. Para encenar um dispositivo, configure a implantação do VPP conforme descrito anteriormente nesta seção. Em seguida, configure e implante uma política de configuração de aplicativo. Verifique se a política visa apenas esses dispositivos ADE sem afinidade de usuário.

Importante

Durante o registro inicial, Intune empurra automaticamente as configurações da política de configuração do aplicativo para dispositivos registrados com o Assistente de Instalação com autenticação moderna, configurado em Configurar o aplicativo Portal da Empresa para dar suporte a dispositivos iOS e iPadOS registrados com Registro automatizado de dispositivo, quando a configuração de perfil de registro Instalar Portal da Empresa é definido como sim. Essa configuração não deve ser implantada manualmente para os usuários porque causará um conflito com a configuração enviada durante o registro inicial. Se ambos forem implantados, Intune solicitará incorretamente que os usuários do dispositivo entrem em Portal da Empresa e baixem um perfil de gerenciamento que já instalaram.

Limites

  • Perfis máximos de registro por token: 1.000
  • Máximo de dispositivos de registro automatizado por perfil: 200.000 (o mesmo que o número máximo de dispositivos por token).
  • Tokens máximos de registro de dispositivo automatizado por conta de Intune: 2.000
  • Máximo de dispositivos de registro automatizado por token: 200.000
    • Recomendamos que você não exceda 200.000 dispositivos por token. Caso contrário, você poderá ter problemas de sincronização. Se você tiver mais de 200 mil dispositivos, divida-os em vários tokens ADE.
    • O Apple Business Manager e o Apple School Manager sincronizam cerca de 3.000 dispositivos até Intune por minuto. Recomendamos adiar a sincronização manual do centro de administração novamente até que o tempo suficiente tenha passado para que todos os dispositivos terminem a sincronização (número total de dispositivos/3.000 dispositivos por minuto).

Solucionar problemas de registro

Se tiver problemas de sincronização durante o processo de registro, procure soluções em Solucionar problemas de registro de dispositivo iOS/iPadOS.

Obter um token de registro de dispositivo automatizado da Apple

Antes de registrar dispositivos iOS/iPadOS com o ADE, você precisa de um token de registro de dispositivo automatizado (arquivo.p7m) da Apple. Esse token permite Intune sincronizar informações sobre dispositivos ADE que sua organização possui. Ele também permite que o Intune carregue perfis de registro para a Apple e atribua dispositivos a esses perfis.

Use o ABM (Apple Business Manager) ou o ASM (Apple School Manager) para criar um token e atribuir dispositivos a Intune para gerenciamento.

Observação

Você pode usar o portal do ABM ou do ASM para habilitar o ADE. O restante deste artigo refere-se ao portal do ABM, mas as etapas são as mesmas para os dois portais.

Etapa 1: Baixar o certificado de chave pública do Intune

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/iPadOS>iOS/iPadOS registro:

    Captura de tela que mostra Microsoft Intune centro de administração.

  2. Selecione Tokens do Programa de Registro>Adicionar.

  3. Na guia Noções Básicas:

    1. Selecione Concordo para conceder à Microsoft permissão para enviar informações de usuário e do dispositivo para a Apple:

      Captura de tela que mostra a tela Adicionar token do programa de registro.

    2. Selecione Baixar o certificado de chave pública do Intune necessário para criar o token. Esta etapa baixa e salva o arquivo da chave de criptografia (.pem) localmente. O arquivo .pem é usado para solicitar um certificado de relação de confiança do portal do Apple Business Manager.

      Você irá carregar esse arquivo .pem no Apple Business Manager na Etapa 2: Ir para o portal do Apple Business Manager (neste artigo).

    3. Mantenha esta guia e a página do navegador da web abertas. Se você fechar a guia:

      • O certificado que você baixou foi invalidado.
      • Você precisará repetir as etapas.
      • Na guia Rever + criar, o botão Criar ficará indisponível e você não poderá concluir esse procedimento.

Etapa 2: Ir para o portal do Apple Business Manager

Use o portal do Apple Business Manager para criar e renovar seu token ADE (servidor MDM). Esse token é adicionado ao Intune e estabelece a comunicação entre o Intune e a Apple.

Observação

As etapas a seguir descrevem o que você precisa fazer no Apple Business Manager. Para obter as etapas específicas, consulte a documentação da Apple. O Guia do Usuário do Apple Business Manager (no site da Apple) pode ser útil.

Baixar o token da Apple

  1. No Apple Business Manager, entre com a ID da Apple de sua empresa.

  2. Nesse portal, conclua as etapas a seguir.

    • Em configurações, são mostrados todos os tokens. Adicione um servidor MDM e carregue o certificado de chave pública (arquivo.pem) que você baixou do Intune na Etapa 1: Baixar o certificado de chave pública do Intune (neste artigo).

      Use o nome do servidor para identificar o servidor de gerenciamento de dispositivo móvel (MDM). Não é o nome ou URL do serviço Microsoft Intune.

    • Após salvar o servidor MDM, selecione-o e baixe o token (arquivo .p7m). Você irá carregar esse arquivo esse token .p7m no Intune na Etapa 4: Carregar seu token e finalizar (neste artigo).

Atribuir dispositivos ao token da Apple (servidor MDM)

  1. Em Apple Business Manager>Dispositivos, selecione os dispositivos que deseja atribuir a esse token. Você pode classificar de acordo com várias propriedades do dispositivo, como o número de série. Você também pode selecionar vários dispositivos simultaneamente.
  2. Edite o gerenciamento de dispositivos e selecione o servidor MDM que você acabou de adicionar. Esta etapa atribui dispositivos ao token.

Etapa 3: Salvar a ID da Apple

  1. No navegador da web, volte para a página Adicionar o token do programa de registro no Intune. Você deve ter mantido essa página aberta, conforme observado na Etapa 1: Baixar o certificado de chave pública do Intune (neste artigo).

  2. Em ID da Apple, insira sua ID. Esta etapa salva a ID. Ela poderá ser usada no futuro.

    Captura de tela que mostra a caixa ID da Apple na guia Básico.

Etapa 4: Carregar seu token e finalizar

  1. Em Token da Apple, navegue até o arquivo de certificado .p7m e selecione Abrir.

    Você baixou esse token .p7m na Etapa 2: Ir para o portal do Apple Business Manager.

  2. Selecione Avançar.

  3. (Opcional) Se quiser aplicar marcas de escopo a esse token ADE, clique em Selecionar marcas de escopo e selecione as marcas de escopo existentes. As marcas de escopo aplicadas a um token são herdadas pelos perfis e dispositivos registrados no ADE adicionados ao token. Os dispositivos que estão sendo referenciados são os que foram sincronizados do ABM/ASM, são registrados por meio do Registro de Dispositivo Automatizado e aparecem dentro do token específico.

    Para obter mais informações sobre marcas de escopo, confira Usar o controle de acesso baseado em função (RBAC) e marcas de escopo para TI distribuída.

    Selecione Avançar.

  4. Na guia Rever + criar selecione Criar.

Com o certificado por push, o Intune pode registrar e gerenciar dispositivos iOS/iPadOS enviando por push políticas para os dispositivos móveis registrados. O Intune sincroniza automaticamente com a Apple para acessar sua conta do programa de registro.

Criar um perfil de registro da Apple

Agora que você instalou seu token, você pode criar um perfil de registro para registro automatizado de dispositivo. Um perfil de registro de dispositivo define as configurações aplicadas a um grupo de dispositivos durante o registro. Há um limite de 1.000 perfis de registro por token de registro.

Observação

Os dispositivos serão impedidos de registrar se não houver licenças de Portal da Empresa suficientes para um token VPP ou se o token expirar. O Intune alerta quando um token está prestes a expirar ou as licenças estão acabando.

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/iPadOS>iOS/iPadOS registroTokens do programa de registro>.

  2. Selecione um token e, em seguida, selecione Perfis.

  3. Selecione Criar perfil>iOS/iPadOS.

  4. Para Noções básicas, dê ao perfil um Nome e Descrição para fins administrativos. Os usuários não veem esses detalhes.

  5. Selecione Avançar.

    Importante

    Se você fizer alterações nas configurações de perfil de registro existentes, as novas alterações não entrarão em vigor em dispositivos atribuídos até que os dispositivos sejam redefinidos novamente para as configurações de fábrica e reativados. A reativação ocorre quando a Carga de Gerenciamento Remoto é recebida em dispositivos ADE. Renomear o modelo de nome do dispositivo é a única alteração que você pode fazer que não exige uma redefinição de fábrica.

  6. Na lista Afinidade de Usuário, selecione uma opção que determina se dispositivos com esse perfil devem ser registrados com ou sem um usuário atribuído.

    • Registrar-se com a Afinidade de Usuário: selecione essa opção para dispositivos que pertencem a usuários que desejam usar Portal da Empresa para serviços como instalar aplicativos.

    • Registrar sem Afinidade de Usuário: selecione essa opção para dispositivos que não estão afiliados a um único usuário. Use esta opção para dispositivos que não acessam dados de usuário local. Esta opção é normalmente usada para quiosque, POS (ponto de venda) ou dispositivos de utilitário compartilhado.

      Em algumas situações, talvez você queira associar um usuário primário em dispositivos registrados sem afinidade de usuário. Para executar essa tarefa, você pode enviar a chave IntuneUDAUserlessDevice para o aplicativo Portal da Empresa em uma política de configuração de aplicativo para dispositivos gerenciados. O primeiro usuário que entrar no aplicativo Portal da Empresa é estabelecido como o usuário primário. Se o primeiro usuário sair e um segundo entrar, o primeiro continuará sendo o usuário primário do dispositivo. Para obter mais informações, confira o artigo Configurar o aplicativo Portal da Empresa para dar suporte a dispositivos de ADE com iOS e iPadOS.

    • Registre-se com Azure AD modo compartilhado: selecione esta opção para registrar dispositivos que estarão no modo compartilhado.

  7. Se você selecionou Registrar com Afinidade de Usuário para o campo Afinidade do Usuário , terá a opção de escolher o método de autenticação que os funcionários devem usar. Para obter mais informações sobre cada método de autenticação, consulte Métodos de autenticação para registro automatizado de dispositivo.

    Captura de tela das opções do método de autenticação.

    Suas opções:

    • Portal da Empresa
    • Assistente de Instalação (herdado)
    • Assistente de Instalação com autenticação moderna

  8. Se você selecionou Assistente de Configuração (herdado) para o método de autenticação, mas também deseja usar o acesso condicional ou implantar aplicativos da empresa nos dispositivos, instale o Portal da Empresa nos dispositivos e se conecte para concluir o registro do Azure AD. Para isso, selecione Sim para Instalar o Portal da Empresa. Se quiser que os usuários recebam o Portal da Empresa sem que precisem se autenticar na App Store, em Instalar o Portal da Empresa com o VPP, selecione um token VPP. Verifique se o token não expira e se você tem licenças de dispositivo suficientes para que o aplicativo Portal da Empresa seja implantado corretamente.

  9. Se você selecionou um token para Instalar o Portal da Empresa com o VPP, pode bloquear o dispositivo no Modo de Aplicativo Único (especificamente, o aplicativo Portal da Empresa) logo após a conclusão do Assistente de Configuração. Selecione Sim para Executar Portal da Empresa no Modo de Aplicativo Único até a autenticação para definir essa opção. Para usar o dispositivo, o usuário precisa primeiro se autenticar entrando o Portal da Empresa.

    Observação

    Não há suporte para a autenticação multifator em um dispositivo único bloqueado no Modo de Aplicativo Único. Essa limitação existe porque o dispositivo não pode alternar para um aplicativo diferente a fim de concluir o segundo fator de autenticação. Se você quiser ter autenticação multifator em um dispositivo no Modo de Aplicativo Único, o segundo fator precisará estar em um dispositivo diferente.

    Esse recurso tem suporte somente no iOS/iPadOS 11.3.1 e posteriores.

    Captura de tela que mostra a opção Executar Portal da Empresa no Modo de Aplicativo Único.

  10. Se quiser que os dispositivos que usam esse perfil sejam supervisionados, selecione Sim na lista Supervisionado:

    Captura de tela que mostra a opção Supervisionado.

    Os dispositivos supervisionados permitem mais opções de gerenciamento e desabilitam o Bloqueio de Ativação por padrão. A Microsoft recomenda usar o ADE como o mecanismo para habilitar o modo supervisionado, especialmente se você estiver implantando grandes números de dispositivos iOS/iPadOS. Os dispositivos Apple Shared iPad for Business precisam ser supervisionados.

    Os usuários são notificados de que seus dispositivos são supervisionados de duas maneiras:

    • A tela de bloqueio diz: Este iPhone é gerenciado pela nome da empresa.
    • A tela Configurações>Geral>Sobre diz: Este iPhone é supervisionado. O nome da empresa pode monitorar seu tráfego da internet e localizar esse dispositivo.

    Observação

    Se um dispositivo estiver registrado sem supervisão, você precisará usar o Apple Configurator para configurá-lo como supervisionado. Para redefinir o dispositivo dessa forma, você precisa conectá-lo a um Mac com um cabo USB. Para saber mais, confira a Ajuda do Apple Configurator.

  11. Na lista Registro Bloqueado, selecione Sim ou Não. O registro bloqueado desabilita as configurações iOS/iPadOS que permitem que o perfil de gerenciamento seja removido. Se você habilitar o registro bloqueado, o botão no aplicativo Configurações que permite que os usuários removam um perfil de gerenciamento ficará oculto e os usuários não poderão cancelar o registro do dispositivo. Se você estiver configurando dispositivos no modo compartilhado Azure AD, selecione Sim.

    O registro bloqueado funciona um pouco diferente, no início, em dispositivos não comprados originalmente por meio do Apple Business Manager, mas posteriormente adicionados para fazer parte do registro automatizado de dispositivos: os usuários nesses dispositivos verão o botão remover o gerenciamento no aplicativo Configurações pelos primeiros 30 dias após ativar seu dispositivo. Após esse período provisório, a opção será ocultada. Para obter mais informações, consulte Preparar dispositivos manualmente (abre documentos de Ajuda do Configurador da Apple).

    Importante

    Essa configuração é diferente das opções remover e redefinir no aplicativo Portal da Empresa. Independentemente de como você configurar o registro bloqueado, as opções Remover Dispositivo ou Redefinição de Fábrica no aplicativo Portal da Empresa permanecem indisponíveis em dispositivos registrados por meio do registro automatizado do dispositivo. Os usuários também não poderão remover o dispositivo no site Portal da Empresa. Para obter mais informações sobre as ações de autoatendimento disponíveis em dispositivos registrados, confira Ações de autoatendimento.

  12. Se você selecionou Registrar sem Afinidade de Usuário e Supervisionado nas etapas anteriores, precisa decidir se deseja configurar os dispositivos para serem Dispositivos Apple Shared iPad for Business. Selecione Sim para Shared iPad para permitir que vários usuários entrem em um único dispositivo. Os usuários serão autenticados usando as respectivas IDs Gerenciadas da Apple e contas de autenticação federada ou usando uma sessão temporária (como a conta de Convidado). Esta opção exige o iOS/iPadOS 13.4 ou posterior. Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação.

    Observação

    • Um apagamento de dispositivo será necessário se um perfil de registro de iOS/iPadOS com o Shared iPad habilitado for enviado para um dispositivo sem suporte. Os dispositivos sem suporte incluem modelos de iPhone e iPads executando o iPadOS/iOS 13.3 e anteriores. Os dispositivos com suporte incluem iPads executando o iPadOS 13.3 e posteriores.
    • Se quiser configurar o Apple Shared iPad for Business, defina as seguintes configurações:
      • Na lista Afinidade de Usuário, selecione Registrar sem Afinidade de Usuário.
      • Na lista Supervisionado, selecione Sim.
      • Na lista do Shared iPad, selecione Sim.

    Se estiver configurando o Apple Shared iPad for Business, configure também:

    • Máximo de usuários armazenados em cache: insira o número de usuários que você acredita que usarão o Shared iPad. Você pode armazenar em cache até 24 usuários em um dispositivo de 32 ou de 64 GB. Se você escolher um número baixo, poderá levar algum tempo para que os dados dos usuários sejam exibidos nos dispositivos após entrarem. Se você escolher um número alto, seus usuários poderão ficar sem espaço em disco.

    • Máximo de segundos após o bloqueio da tela antes que a senha seja solicitada : insira o número de segundos de 0 a 14.400. Se o bloqueio de tela exceder este tempo, uma senha de dispositivo será necessária para desbloquear o dispositivo. Disponível para dispositivos no modo Shared iPad executando o iPadOS 13.0 e posterior.

    • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver nenhuma atividade após o período definido, a sessão do usuário terminará e o usuário sairá. Se você deixar a entrada em branco ou defini-la como zero (0), a sessão não terminará devido à inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

    • Solicitar somente sessão temporária do iPad Compartilhado: configura o dispositivo para que os usuários vejam apenas a versão de convidado da experiência de entrada e devem entrar como convidados. Não podem entrar com uma ID gerenciada da Apple. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Quando definida como Sim, essa configuração cancela as seguintes configurações de iPad compartilhadas, pois elas não são aplicáveis em sessões temporárias:

      • Máximo de usuários armazenados em cache
      • Máximo de segundos após o bloqueio da tela antes que a senha seja solicitada
      • Máximo de segundos de inatividade até que a sessão do usuário seja desconectada

    • Máximo de segundos de inatividade até que a sessão temporária seja desconectada: o valor mínimo permitido para essa configuração é 30. Se não houver nenhuma atividade após o período definido, a sessão temporária terminará e assinará a saída do usuário. Se você deixar a entrada em branco ou defini-la como zero (0), a sessão não terminará devido à inatividade. Disponível para dispositivos no modo Shared iPad executando o iPadOS 14.5 e posterior.

      Esta configuração estará disponível quando a configuração Requerer apenas uma sessão Shared iPad temporária estiver definida como Sim.

    Observação

    • Se as sessões temporárias estiverem habilitadas, todos os dados do usuário serão excluídos quando saírem da sessão. Isso significa que todas as políticas e aplicativos visados chegarão ao usuário quando ele entrar e serão apagados quando sair.
    • Para alterar uma configuração de iPads compartilhados para não ter sessões temporárias, o dispositivo precisará ser totalmente redefinido e um novo perfil de registro com as configurações atualizadas precisará ser enviado para o iPad.

  13. Na lista Sincronizar com computadores, selecione uma opção para os dispositivos que usam esse perfil. Se selecionar Permitir Apple Configurator por certificado, você precisará selecionar um certificado em Certificados do Apple Configurator.

    Observação

    Se você definir Sincronizar com computadores como Negar todos, a porta ficará limitada nos dispositivos iOS e iPadOS. A porta será limitada somente ao carregamento. Ela será impedida de usar o iTunes ou o Apple Configurator 2.

    Se você definir Sincronizar com computadores como Permitir o Apple Configurator por certificado, tenha uma cópia local do certificado que você possa usar posteriormente. Você não conseguirá fazer alterações na cópia carregada, e é importante manter uma cópia desse certificado. Se você quiser se conectar ao dispositivo iOS/iPadOS de um dispositivo ou PC macOS, o mesmo certificado precisará ser instalado no dispositivo que fará a conexão com o dispositivo iOS/iPadOS.

  14. Se você selecionou Permitir Apple Configurator por certificado na etapa anterior, escolha um certificado em Certificados do Apple Configurator para importar.

  15. Opcionalmente, crie um modelo de nome de dispositivo para identificar rapidamente dispositivos atribuídos a esse perfil no centro de administração. Intune usa seu modelo para criar e formatar nomes de dispositivo. Os nomes são dados aos dispositivos quando eles se registram e em cada marcar sucessiva. Para criar um modelo:

  16. Em Aplicar modelo de nome do dispositivo, selecione Sim .

  17. Na caixa Modelo de Nome do Dispositivo , insira o modelo que você deseja usar para construir nomes de dispositivo. O modelo pode incluir o tipo de dispositivo e o número de série. Ele não pode conter mais de 63 caracteres, incluindo as variáveis. Exemplo: {{DEVICETYPE}}-{{SERIAL}}

  18. Você pode ativar um plano de dados de celular. Essa configuração se aplica a dispositivos que executam iOS/iPadOS 13.0 e posterior. A configuração desta opção enviará um comando para ativar os planos de dados de celular para seus dispositivos celulares habilitados para eSim. Sua operadora deve provisionar ativações para seus dispositivos antes que você possa ativar planos de dados usando este comando. Para ativar o plano de dados de celular, clique em Sim e insira a URL do servidor de ativação da sua operadora.

  19. Selecione Avançar.

  20. Na guia Assistente de Configuração, defina as seguintes configurações de perfil:

    Configuração do departamento Descrição
    Departamento Aparece quando os usuários tocam em Sobre a Configuração durante a ativação.
    Telefone do Departamento Aparece quando os usuários tocam no botão Precisa de Ajuda durante a ativação.

    Você pode ocultar telas do Assistente de Instalação no dispositivo durante a instalação do usuário. Para obter uma descrição de todas as telas, consulte Referência de tela do Assistente de Instalação (neste artigo).

    • Se você selecionar Ocultar, a tela não será exibida durante a instalação. Após configurar o dispositivo, o usuário continua podendo acessar o menu Configurações para configurar o recurso.
    • Se você selecionar Mostrar, a tela será exibida durante a instalação, mas somente se houver etapas a serem concluídas após a restauração ou a atualização de software. Às vezes, os usuários podem ignorar a tela sem executar nenhuma ação. Podem acessar o menu Configurações do dispositivo mais tarde para configurar o recurso.
    • Com o Shared iPad, todos os painéis do Assistente de Instalação são ignorados automaticamente após a ativação, independentemente da configuração.

  21. Selecione Avançar.

  22. Selecione Criar para salvar o perfil.

Grupos dinâmicos no Azure Active Directory

É possível usar o campo Nome de registro para criar um grupo dinâmico no Azure AD (Azure Active Directory). Para obter mais informações, confira Grupos dinâmicos do Azure Active Directory.

Você pode usar o nome do perfil para definir o parâmetro enrollmentProfileName e atribuir dispositivos com este perfil de registro.

Antes da instalação do dispositivo e para garantir a entrega rápida em dispositivos com afinidade de usuário, verifique se o usuário registrador é membro de um grupo de usuários Azure AD.

Se você atribuir grupos dinâmicos a perfis de registro, poderá haver um atraso no fornecimento de aplicativos e políticas para dispositivos após o registro.

Referência de tela do Assistente de Instalação

A tabela a seguir descreve as telas do Assistente de Instalação mostradas durante o registro automatizado do dispositivo para iOS/iPadOS. Você pode mostrar ou ocultar essas telas em dispositivos com suporte durante o registro.

Tela assistente de instalação O que acontece quando visível
Senha Solicita uma senha ao usuário. Sempre exija uma senha para dispositivos não protegidos, a menos que o acesso seja controlado de alguma outra maneira. (por exemplo, uma configuração de modo quiosque que restringe o dispositivo a um aplicativo). Para iOS/iPadOS 7.0 e posterior.
Serviços de Localização Solicita a localização ao usuário. Para macOS 10.11 e posteriores e iOS/iPadOS 7.0 e posteriores.
Restore Exiba a tela Dados de Aplicativos & . Esta tela fornece aos usuários a opção de restaurar ou transferir dados do Backup do iCloud quando eles configuram o dispositivo. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
ID Apple Dá ao usuário as opções de entrar com o ID da Apple e usar o iCloud. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Termos e condições Exige que o usuário aceite os termos e condições da Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Touch ID e Face ID Dê ao usuário a opção de configurar impressão digital ou identificação facial no seu dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 8.1 e posterior. No iOS/iPadOS 14.5 e posterior, as telas do Assistente de Configuração de Senha e da ID de Toque durante a instalação do dispositivo não estão funcionando. Se você usar a versão 14.5+, não configure as telas Assistente de Configuração de Senha e da ID de Toque. Se você precisar de uma senha em dispositivos, use uma política de configuração de dispositivo ou uma política de conformidade. Depois que o usuário se registrar e receber a política, será solicitado que ele receba uma senha.
Apple Pay Dá ao usuário a opção de configurar o Apple Pay no dispositivo. Para macOS 10.12.4 e posterior e iOS/iPadOS 7.0 e posterior.
Ampliar Dará ao usuário a opção de aplicar zoom na exibição quando configurar o dispositivo. Para iOS/iPadOS 8.3 e posterior.
Siri Dá ao usuário a opção de configurar a Siri. Para macOS 10.12 e posterior e iOS/iPadOS 7.0 e posterior.
Dados de Diagnóstico Exibirá a tela Diagnóstico. Essa tela dá ao usuário a opção de enviar dados de diagnóstico à Apple. Para macOS 10.9 e posterior e iOS/iPadOS 7.0 e posterior.
Tom da Tela Dá ao usuário a opção de ativar o Tom da Tela. Para macOS 10.13.6 e posterior e iOS/iPadOS 9.3.2 e posterior.
Privacidade Exibirá a tela Privacidade. Para macOS 10.13.4 e posterior e iOS/iPadOS 11.3 e posterior.
Migração do Android Dá ao usuário a opção de migrar dados de um dispositivo Android. Para iOS/iPadOS 9.0 e posterior.
FaceTime iMessage & Dá ao usuário a opção de configurar o iMessage e o FaceTime. Para iOS/iPadOS 9.0 e posterior.
Integração Exibirá telas informativas de integração para informar o usuário, como Folha de Rosto, Multitarefa e Centro de Controle. Para iOS/iPadOS 11.0 e posterior.
Tempo de Tela Exibe a tela Tempo de Tela. Para macOS 10.15 e posterior e iOS/iPadOS 12.0 e posterior.
Configuração do SIM Dá ao usuário a opção de adicionar um plano de celular. Para iOS/iPadOS 12.0 e posterior.
Atualização de Software Exibe a tela de atualização de software obrigatória. Para iOS/iPadOS 12.0 e posterior.
Migração de Relógio Dá ao usuário a opção de migrar dados de um relógio. Para iOS/iPadOS 11.0 e posterior.
Aparência Exibirá a tela Aparência. Para macOS 10.14 e posterior e iOS/iPadOS 13.0 e posterior.
Migração de Dispositivo para Dispositivo Dará ao usuário a opção de migrar dados de um dispositivo antigo para este dispositivo. Esse recurso não está disponível para dispositivos ADE que executam o iOS 13 e posteriores, portanto, essa tela não será exibida nesses dispositivos.
Restauração Concluída Mostra aos usuários a tela Restauração Concluída após a realização de um backup e restauração durante o Assistente de Configuração.
Atualização de Software Concluída Mostra ao usuário todas as atualizações de software que acontecem durante o Assistente de Configuração.
Introdução Mostra aos usuários a tela de boas-vindas de Introdução.
Termos de Endereço Dê ao usuário a opção de escolher como ele deseja ser abordado em todo o sistema: feminino, masculino ou neutro. Este recurso da Apple está disponível para idiomas selecionados. Para obter mais informações, confira Principais recursos e aprimoramentos(abre o site da Apple). Para iOS/iPadOS 16.0 e posterior.

Sincronizar dispositivos gerenciados

Agora que o Intune tem permissão para gerenciar seus dispositivos, você pode sincronizar o Intune com a Apple para ver os dispositivos gerenciados no Intune no Portal do Azure.

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/iPadOS>iOS/iPadOS registro>Tokens do Programa de Registro.

  2. Selecione um token na lista e selecione Dispositivos>Sincronizar:

    Captura de tela que mostra como sincronizar dispositivos iOS e iPadOS com um token do programa de registro.

    Para cumprir os termos da Apple com relação ao tráfego aceitável do programa de registro, o Intune impõe as seguintes restrições:

    • Uma sincronização completa pode ser executada, no máximo, uma vez a cada sete dias. Durante uma sincronização completa, o Intune busca a lista atualizada completa de números de série atribuídos ao servidor Apple MDM conectado ao Intune.

      Importante

      Se um dispositivo for excluído do Intune, mas permanecer atribuído ao token de inscrição ADE no portal ASM/ABM, ele reaparecerá no Intune na próxima sincronização completa. Se você não quiser que o dispositivo reapareça no Intune, cancele a atribuição do servidor Apple MDM no portal ABM/ASM.

    • Se um dispositivo for liberado do ABM/ASM, poderá levar até 45 dias para que ele seja excluído automaticamente da página de dispositivos no Intune. Se necessário, você pode excluir manualmente e de forma individual os dispositivos liberados do Intune. Os dispositivos lançados serão relatados com precisão como sendo removidos do ABM/ASM em Intune até que sejam excluídos automaticamente dentro de 30 a 45 dias.
    • A sincronização delta é executada automaticamente a cada 12 horas. Você também pode disparar uma sincronização delta selecionando o botão Sincronizar (no máximo uma vez a cada 15 minutos). Todas as solicitações de sincronização têm 15 minutos para terminar. O botão Sincronizar fica desativado até que a sincronização seja concluída. Essa sincronização atualizará o status existente do dispositivo e importará novos dispositivos atribuídos ao servidor MDM da Apple. Se uma sincronização delta falhar por qualquer motivo, a próxima sincronização será completa para, esperamos, resolver quaisquer problemas.

Atribuir um perfil de registro aos dispositivos

Antes que os dispositivos possam ser registrados, você precisa atribuir um perfil de registro a eles.

Observação

Você também pode atribuir números de série aos perfis no painel Números de Série da Apple.

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/iPadOS>iOS/iPadOS registro>Tokens do Programa de Registro.
  2. Selecione um token de registro.
  3. Selecione Dispositivos.
  4. Selecione todos os dispositivos que você deseja atribuir e selecione Atribuir perfil.
  5. Em Atribuir perfil, escolha o perfil de registro de dispositivo automatizado que você criou para os dispositivos e selecione Atribuir.

Atribuir um perfil padrão

Você pode escolher um perfil padrão a ser aplicado a todos os dispositivos que forem registrados com um token específico.

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/iPadOS>iOS/iPadOS registro>Tokens do Programa de Registro.
  2. Selecione um token de registro.
  3. Selecione Definir Perfil Padrão.
  4. Selecione um perfil na lista e selecione Salvar. O perfil será aplicado a todos os dispositivos que se registrarem com o token de registro selecionado.

Observação

Verifique se as Restrições de Tipos de Dispositivos em Restrições de Registro não têm a política padrão Todos os Usuários definida para bloquear a plataforma iOS/iPadOS. Essa configuração causará falha no registro automatizado e seu dispositivo será exibido como Perfil Inválido, independentemente do atestado do usuário. Para permitir o registro somente por dispositivos gerenciados pela empresa, bloqueie somente dispositivos de propriedade pessoal, o que permitirá que os dispositivos corporativos se registrem. A Microsoft define um dispositivo corporativo como um dispositivo registrado por meio de um Programa de registro de dispositivos ou de um dispositivo inserido manualmente em Identificadores de dispositivos corporativos.

Distribuir dispositivos

Você habilitou o gerenciamento e a sincronização entre a Apple e o Intune e atribuiu um perfil para que os dispositivos do ADE possam ser registrados. Você está pronto para distribuir dispositivos para os usuários. Algumas coisas que você precisa saber:

  • Dispositivos registrados com afinidade de usuário exigem que uma licença do Intune seja atribuída a cada usuário.

  • Os dispositivos registrados sem afinidade de usuário normalmente não têm nenhum usuário associado. Esses dispositivos precisam ter uma licença de dispositivo do Intune. Se os dispositivos registrados sem afinidade de usuário forem usados por um usuário licenciado pelo Intune, não será necessária uma licença de dispositivo.

    Para resumir, se um dispositivo tiver um usuário, o usuário precisará ter uma licença do Intune atribuída. Se não tiver um usuário licenciado pelo Intune, o dispositivo precisará ter uma licença de dispositivo do Intune.

    Para obter mais informações sobre o licenciamento do Intune, confira Licenciamento do Microsoft Intune e o Guia de planejamento do Intune.

  • Um dispositivo ativado precisa ser apagado para que possa ser inscrito no Intune adequadamente usando ADE. Depois de ser apagado, mas antes da reativação, o perfil de inscrição pode ser aplicado. Confira Configurar um iPhone, iPad ou iPod touch existente

  • Se estiver fazendo o registro com o ADE e afinidade de usuário, o seguinte erro poderá ocorrer durante a configuração:

    The SCEP server returned an invalid response.

    É possível resolver esse erro tentando baixar o gerenciamento novamente dentro de 15 minutos. Se mais de 15 minutos se passarem, para resolver esse erro, você precisará realizar a redefinição de fábrica do dispositivo. Esse erro ocorre em razão de um limite de 15 minutos para certificados SCEP, que é imposto por motivos de segurança.

Para saber mais sobre a experiência do usuário final, confira Registrar seu dispositivo iOS/iPadOS no Intune usando o ADE.

Registrar novamente um dispositivo

Conclua estas etapas para registrar novamente um dispositivo que já passou pelo registro automatizado do dispositivo.

  1. Há duas opções para redefinir o dispositivo:
    • Limpe o dispositivo no centro de administração Microsoft Intune.
    • Retire o dispositivo no centro de administração e, em seguida, reinicie o dispositivo para configurações de fábrica usando o aplicativo Configurações, Apple Configurator 2 ou iTunes.
  2. Ative o dispositivo e siga as etapas na tela no Assistente de Instalação para recuperar o perfil de gerenciamento remoto.

Renovar um token do Registro de Dispositivo Automatizado

Às vezes, você precisará renovar seus tokens:

  • Renove seu token ADE anualmente. O centro de administração Intune mostra a data de validade.
  • Se a senha da ID da Apple for alterada para o usuário que configurou o token no Apple Business Manager, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Se o usuário que configurou o token no Apple Business Manager sair da organização, renove o token do programa de registro no Intune e no Apple Business Manager.
  • Se você alterar a ID da Apple usada para criar o token ADE, a alteração não afetará os dispositivos registrados no momento.

Renovar seus tokens

  1. Acesse business.apple.com e entre com uma conta que tenha função de Administrador ou de Gerenciador de Registros de Dispositivo.

  2. Selecione Configurações. Em Servidores MDM, selecione o servidor MDM associado ao arquivo de token que deseja renovar. Selecione Baixar Token:

    Captura de tela que mostra como renovar e baixar um token da Apple no Apple Business Manager.

  3. Selecione Baixar Token do Servidor.

    Observação

    Conforme informado no prompt, não selecione Baixar Token do Servidor se você não pretende renovar o token. Fazer isso invalidará o token que está sendo usado pelo Intune (ou por qualquer outra solução de MDM). Se você já baixou o token, prossiga com as próximas etapas até que ele seja renovado.

  4. Depois de baixar o token, vá para Microsoft Intune centro de administração. Selecione Dispositivos>iOS/iPadOS>Registro do iOS/iPadOS>Tokens do programa de registro. Selecione o token.

  5. Selecione Renovar token. Insira a ID da Apple usada para criar o token original (se não tiver sido preenchida automaticamente):

    Captura de tela que mostra a página Renovar token.

  6. Carregue o token recém-baixado.

  7. Selecione Avançar para ir para a página Marcas de escopo. Atribua marcas de escopo se desejar.

  8. Selecione Renovar token. Você verá uma confirmação de renovação do token:

    Captura de tela que mostra a mensagem de confirmação.

Excluir um token do Registro de Dispositivo Automatizado do Intune

Você pode excluir um token do perfil de registro do Intune, desde que:

  • Nenhum dispositivo esteja atribuído ao token.
  • Nenhum dispositivo esteja atribuído ao perfil padrão.
  • Não há nenhum perfil de registro nesse token.

Para excluir um token do perfil de registro:

  1. Em Microsoft Intune centro de administração, selecione Dispositivos>iOS/macOS>iOS/macOS registro>Tokens do Programa de Registro. Selecione o token e selecione Dispositivos.
  2. Exclua todos os dispositivos atribuídos ao token.
  3. Acesse Dispositivos>iOS/macOS>Registro do iOS/macOS>Tokens do Programa de Registro. Selecione o token e selecione Perfis.
  4. Se houver um perfil padrão ou qualquer outro perfil de registro, todos eles deverão ser excluídos.
  5. Acesse Dispositivos>iOS/macOS>Registro do iOS/macOS>Tokens do Programa de Registro. Selecione o token e selecione Excluir.

Próximas etapas

Para obter uma visão geral do que é exigido dos usuários do dispositivo, consulte Tarefas do usuário final do ADE.